產業安全專家談丨數字經濟高速發展,資料要素安全該如何保障?

騰訊安全發表於2021-04-07

今年“兩會”期間,“數字經濟”成為高頻熱詞。數字經濟之下,資料已成為推動產業轉型升級、加快數字社會建設的重要的生產要素。

不過,在數字經濟帶來發展新機遇的同時,資料安全的形勢亦不容樂觀。公開資料顯示,2020年全球資料洩露的平均經濟損失為1145萬美元。

面對資料洩露帶來的風險,國內相關法律法規不斷完善。針對國家法律法規及相關標準對企業提出的資料安全防護合規要求,企業該如何應對?如何高效透過密碼合規的新難題?由騰訊安全聯合雲+社群打造的「產業安全專家談」第二十八期就邀請到了騰訊安全雲鼎實驗室高階研究員謝燦,全面透析企業資料加密的策略和規劃,並分享騰訊安全保障資料要素安全的落地應用。

產業安全專家談丨數字經濟高速發展,資料要素安全該如何保障?


Q1
:在前不久結束的“兩會”上,“數字經濟”成為一個被頻繁提及的熱詞。那麼資料在數字經濟發展過程中承擔了什麼樣的角色?

謝燦:從廣泛意義上講,凡是直接或間接利用資料來引導資源發揮作用,推動生產力發展的經濟形態都可以納入數字經濟的範疇。

2020年,全球經受了新冠疫情的重大考驗。在這樣的考驗下,數字政務、新零售、新文旅等在中國得到了進一步發展,也充分展現了數字經濟的巨大潛力。我們說,資本、技術是工業經濟的關鍵生產要素,那麼資料則是數字經濟時代關鍵生產要素。企事業單位利用好,發揮好資料價值,是數字經濟時代業務創新、提升生產力的最主要動力。


Q2
:資料的重要性不斷提升,近年來企業資料安全事故也屢見不鮮,那麼資料安全面臨的風險主要有哪些?

謝燦:數字經濟的核心是資料與產業的融合,其前提是資料的應用。資料在採集、共享、分析、流動與使用等環節都將面臨不同層面的風險,這包括資料產權、資料流通、跨境傳輸和安全保護等層面的風險問題。

從單一資料安全層面上講,在資料的生產錄入與上傳過程中,可能會遇到身份冒用的風險;在傳輸過程中,未妥善加密的資料面臨著被駭客挾持等外部威脅;海量資料上傳歸集到大資料平臺後,可能會面對拖庫、撞庫、誤操作等大資料平臺風險;處理完的資料,會流向各類辦公人員,該環節也可能發生人員洩密,敏感資料失控外傳等內部洩密問題。可以說,資料安全的風險實際是貫穿在資料全生命週期,需要基於資訊保安技術,實現資料端到端的機密性、完整性、真實性、不可否認性的保護。


Q3
:目前,國家法律法規以及相關標準對企業的資料安全防護有哪些硬性的合規要求?企業應該如何應對?

謝燦:從合規性要求上,國際在發展資料隱私的合規性標準規範方面更為成熟,如GDPR 、PCI DSS或者是ISO27001等。不過近年來,國內在資料安全這一領域也不斷推出了一些法律法規,從最初的《網路安全法》到《密碼法》,以及正在制定的《資料安全法》、《個人資訊保護法》等,都在對資料安全和個人資訊方面做出比較體系的規範。

其中,《密碼法》以及GB/T 39786-2021《資訊保安技術 資訊系統密碼應用基本要求》針對基於密碼技術的資料安全防護提出規範性的要求。同時,針對關鍵基礎設施以及等保三級系統,推出了《商用密碼應用安全性評估》要求,確保在發展數字經濟的前提下,資料安全防護行之有效。

政務、泛金融、交通、教育以及央企等行業,會最先面臨相應的規範和要求。針對這些行業,我們建議首先對相關的合規要求進行分析,同時對自己的資料進行梳理,再去分析如何運用相應的安全防護方式,從而形成一個體系化的落地方案。


Q4
:剛剛提到的基於密碼技術實現資料安全防護,用密碼技術來保護資料有哪些優勢,企業用好密碼又有哪些難點?

謝燦:資訊保安的本質實際上是保護資訊的機密性-不被洩露,完整性-不被篡改,真實性-身份不被冒用,以及不可否認性-抗抵賴,這些都可以透過密碼技術得到比較完善的保障。比如現在大家已經比較熟悉的比特幣、數字人民幣等,它們還有個名字叫做“加密貨幣”,也是利用密碼技術實現資訊的高度安全保障。可以說,密碼技術是構建網路安全和信任體系的核心技術和基礎支撐。

其實,密碼技術看似離我們很遠,但在日常生活中卻經常會用到它。但是從一個數學學科的角度來看密碼技術的話,它用起來還是比較複雜的。

從國內密碼市場現狀來看,密碼技術主要面臨三大難點——難做,難用,難管。難做是開發門檻高,需要技術人員對密碼技術進行一定的掌握;難用是密碼演算法、密碼產品、密碼應用三者脫節,需要大量的開發工作;難管是密碼應用分散,行業缺乏統一的標準,我們在運維管理工作上面會存在一定的難度。


Q5
:針對企業進行密碼改造的難點和挑戰,騰訊有哪些能力和解決方案?

謝燦:金融、政務、交通、能源、製造等關鍵行業、以及相應的政務雲、金融雲、大資料平臺等系統平臺都是資料安全防護的重點要求物件。

針對使用者的資料安全挑戰以及密碼應用合規的難點,我們推出合規密碼應用解決方案,核心目標是幫助使用者以最小的成本來滿足資料安全防護以及密碼合規的一些要求;基礎思想是將密碼技術以服務化、元件化的方式,對外提供資料安全服務,提供從終端身份認證、傳輸安全、儲存安全以及運維管理等等方向的能力,實現資料從獲取到傳輸、分析、使用、消費整個過程的資料安全防護,幫助企業應對數字經濟時代的一些資料安全挑戰。

產業安全專家談丨數字經濟高速發展,資料要素安全該如何保障?

Q6:能否結合相關實踐案例,談一談合規密碼應用解決方案的優勢?

謝燦:第一,安全融合。數字經濟的基礎是網路基礎設施與智慧資訊科技,我們這套資料安全體系可以無縫融合到基礎設施架構裡,實現基礎架構自帶安全;

第二,密碼即服務。我們前面提到密碼技術應用的一些難點,基於騰訊雲合規密碼應用解決方案,我們將複雜的密碼運算以及密碼設計轉換成資料安全服務,大大降低密碼應用難度;儲存安全上,我們提供的雲訪問安全代理CASB服務,只需要透過簡單的配置就可以完成資料儲存的機密性和完整性保護,而且可以滿足國家密碼管理局的相關合規性要求;

第三,預設合規。資料安全中臺基於密碼技術的身份認證、傳輸安全、儲存安全、管理安全等元件確保具備商用密碼產品認證證書;安全架構設計上,基於融合設計,實現基礎架構的預設合規,減少使用者的合規成本。


相關文章